search
El medio de comunicación que reinventa la empresa
Registrar un software

¿Cómo puedo protegerme del phishing? Consejos y buenas prácticas

¿Cómo puedo protegerme del phishing? Consejos y buenas prácticas

Por Jennifer Montérémal

El 29 de octubre de 2024

¿Cómo protegerse eficazmente contra el phishing?

Dado que este tipo de ataque puede tener graves consecuencias para las empresas, como la filtración de datos sensibles, toda organización debe hacer todo lo posible para protegerse.

Aunque se han desarrollado programas informáticos específicos para este fin, veremos que el factor humano, y por tanto la concienciación, siguen siendo las mejores armas para protegerse contra estos ataques malintencionados.

Por eso hay que extremar la vigilancia, hacerse las preguntas adecuadas cuando se recibe un correo electrónico y adoptar buenas prácticas.

Veámoslo más de cerca.

¿Qué es el phishing?

Definición de phishing

El phishing es uno de los ataques informáticos más comunes. También utilizamos los términos franceses "hameçonnage" o "filoutage" para describir esta técnica.

¿En qué consiste exactamente?

El pirata informático usurpa una identidad, como la de un organismo público o una gran empresa, para enviar un correo electrónico en su nombre y obtener acciones específicas del destinatario.

Para engañar al destinatario, el estafador intenta hacerse pasar por un remitente de confianza (utilizando, por ejemplo, los logotipos y gráficos del remitente). De este modo, se anima a la víctima a :

  • hacer clic en un enlace a un sitio oficial falso, un sitio espejo ;
  • descargar un archivo adjunto
  • responder directamente al correo electrónico, etc.

Mediante estas acciones, los piratas informáticos persiguen múltiples objetivos

  • obtener datos personales, como datos bancarios o contraseñas ;
  • extraer dinero
  • introducir software malicioso en el sistema del destinatario del correo electrónico.

☝️ Esta técnica de fraude es sin duda una de las más extendidas en la red, ya que requiere muy poca habilidad por parte del ciberdelincuente. Lo único que tiene que hacer es recopilar datos sobre sus futuras víctimas (operación facilitada por la creciente cantidad de información personal disponible en Internet, redes sociales, etc.) y luego enviarles un simple correo electrónico.

Además, el éxito de la estafa depende en gran medida de la falta de vigilancia de los usuarios, que, como veremos, sigue siendo el punto débil de las organizaciones en materia de ciberseguridad.

Impacto en las empresas

La mitad de las empresas francesas han sido víctimas de ataques de phishing en los dos últimos años.

Enquête Sophos de 2019

El phishing, como todos los ciberataques, va en aumento. Puede afectar a cualquier tipo de empresa, sea cual sea su tamaño o sector de actividad.

Además, los intentos de phishing son cada vez más selectivos. De hecho, algunos piratas inform áticos se toman ahora el tiempo de averiguar más sobre sus futuras víctimas, con el objetivo de enviar el mensaje más creíble posible.

Las principales consecuencias para las organizaciones son

  • infiltración en la red informática
  • filtración de datos sensibles, como archivos de clientes, patentes e información bancaria
  • suplantación de identidad, etc.

Las repercusiones del phishing pueden ser desastrosas, tanto desde el punto de vista financiero como de la imagen de la empresa, que se verá gravemente dañada.

¿Cómo prevenir el phishing?

Sensibilizar y formar a los empleados

En el 80% de los casos, es la acción de un usuario en su puesto de trabajo, a menudo realizada de forma involuntaria, la causante de los ciberataques.

AvantdeCliquer.com

La prevención sigue siendo la mejor manera de protegerse eficazmente contra el phishing, porque un intento de phishing suele ser detectable. Pero en un mundo en el que cada vez estamos más inundados de información, a veces perdemos de vista ciertos detalles.

Por eso, las empresas deben tomar cartas en el asunto y comunicarse activamente con sus empleados. Por ejemplo, ¿por qué no organizar sesiones de formación ?

Algunas organizaciones han decidido poner a prueba a sus empleados . Mediante el envío de falsos correos electrónicos de phishing, identifican quién "muerde el anzuelo", por lo que pueden reaccionar en consecuencia e inculcar mejores prácticas.

Hágase las preguntas adecuadas cuando reciba un correo electrónico

Si te haces las preguntas adecuadas y permaneces atento cuando recibas un correo electrónico, aumentarás tus posibilidades de protegerte contra los intentos de phishing .

He aquí los principales puntos a los que debe prestar atención:

  • El remitente : ¿lo conozco? ¿Se han puesto en contacto conmigo antes?

  • La dirección de correo electrónico : una dirección de correo electrónico sospechosa o que no parezca seria es un indicio inequívoco. En caso de duda, búsquela en Google. Si es fraudulenta, puede que ya haya sido denunciada.

  • La naturaleza del correo electrónico:
    • ¿Me atrae el asunto o el archivo mencionado en el mensaje?
    • ¿El tono del texto parece apropiado? En general, desconfíe de los correos electrónicos que intentan preocuparle, presionarle o ponerle en una situación de emergencia.
    • ¿Me piden información personal ? Debes saber, por ejemplo, que un banco nunca te pedirá información sensible por Internet.

  • La calidad del contenido : ¿parece que el contenido se ajusta a lo que puede enviar un remitente de este tipo? En otras palabras, compruebe si hay faltas de ortografía, errores tipográficos y otras expresiones inapropiadas, que son demasiado comunes en este tipo de correo electrónico.

  • Enlaces y archivos adjuntos:
    • Fíjate si las URL de los enlaces parecen correctas, sin faltas de ortografía. Puede, por ejemplo, escribir el objetivo en la barra de direcciones de su navegador para comprobar su fiabilidad.
    • Desconfía también de los enlaces cortos , ya que no te permiten predecir dónde acabarás. ¡💡 Consejo: para comprobar a qué página te llevará un enlace corto, utiliza herramientas en línea como Unshorten.It!
    • Pregúntate si el archivo adjunto es sospechoso. Por ejemplo, ¿es diferente del que aparece en texto plano? En resumen, piénsatelo siempre dos veces antes de hacer clic en cualquier cosa que aparezca en un correo electrónico.

Adopte buenas prácticas de ciberseguridad

He aquí algunos consejos para combinar la ciberseguridad y la gestión de los correos electrónicos de su empresa:

  • Nunca envíe datos sensibles por correo electrónico , ya que ninguna organización o empresa que se precie le pedirá que lo haga. Lo mismo se aplica a las solicitudes de envío de dinero (por ejemplo, el pago de gastos de envío).

  • En caso de duda, compruebe la información directamente en el sitio web seguro del remitente o en cualquier otro canal oficial .

  • Desconfíe de las ofertas demasiado tentadoras (premios de lotería, regalos, etc.).

  • Compruebe siempre la seguridad de los sitios que visita. Si son fiables, en la barra de direcciones del sitio encontrará las siguientes indicaciones : "https://" y el icono de un candado.

  • Si aún no lo ha hecho, active las protecciones antiphishing disponibles en los distintos navegadores.

  • Utilice su correo electrónico de trabajo sólo para este fin , y lo mismo vale para su correo electrónico personal.

  • Evite utilizar una red Wi-Fi pública para sus operaciones profesionales.

  • Por último, elimine todos los correos electrónicos de phishing que lleguen a su bandeja de entrada y no los reenvíe a sus empleados (excepto al departamento de TI pertinente para que tome las medidas oportunas).

Utilice herramientas de protección contra el phishing

Aunque la mejor protección contra el phishing es un comportamiento humano adecuado, el uso de determinados programas y herramientas también resulta beneficioso.

  • 🛠️ Software antiphishing : Mailinblack, por ejemplo, y su solución Mailinblack Protect, que detecta los correos fraudulentos y le protege de ellos. El editor propone también la herramienta pedagógica Phishing Coach para ayudar a las empresas a identificar los comportamientos de riesgo entre sus empleados y a aplicar medidas de sensibilización entre sus equipos.

  • 🛠️ Software antivirus . Utilizar un antivirus fiable y actualizado proporciona una mejor protección contra las acciones maliciosas tras un intento de phishing exitoso (si ha descargado inadvertidamente un archivo adjunto fraudulento, por ejemplo).

  • 🛠️ Gestores de contraseñas . Se recomienda utilizar contraseñas únicas para acceder a las distintas cuentas, con el fin de garantizar su protección en caso de usurpación de identidad. Pero como el cerebro humano no puede recordarlas todas, le sugerimos que opte por un gestor de contraseñas seguro.

Denuncia los intentos de phishing

Por último, le recomendamos que denuncie cualquier intento de phishing:

  • en su buzón de correo electrónico , utilizando las famosas pestañas "correo no deseado" e "intentos de phishing". Esto te protegerá de futuros ataques;
  • en Signal Spam y/o internet-signalement.gouv.fr . De este modo, ayudarás a las autoridades a tomar medidas y contribuirás a que Internet sea más seguro.

☝️ En el trabajo, ponte en contacto con tu servicio informático para que pueda reaccionar rápidamente y evitar que otros empleados menos experimentados muerdan el anzuelo.

¿Y si te han hecho phishing?

¿Te has dado cuenta demasiado tarde de que has sido víctima de phishing? Aquí tienes algunas cosas que puedes hacer rápidamente:

  1. Por una vez, informe rápidamente del fraude al departamento de informática de su empresa;
  2. Cambie todas sus contraseñas , para impedir que el pirata informático acceda a su información utilizando los identificadores obtenidos;
  3. Póngase en contacto con los organismos competentes . Si, por ejemplo, ha revelado sus datos bancarios , póngase en contacto con su banco inmediatamente;
  4. Presente una denuncia ante la policía.

Artículo traducido del francés